Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Ochrona infrastruktury

Data publikacji: 18-04-2019 Autor: Artur Cieślik
Rys. 1. Infrastruktura z NPS

Ochrona i zabezpieczenie systemu informatycznego składają się z wielu elementów. Jednymi z ważniejszych są odpowiednio dobrane i skonfigurowane metody kontroli dostępu do sieci.

 

Czy jesteśmy bezpieczni, przetwarzając dane w swoich sieciach? Odpowiedź na to pytanie zazwyczaj nie jest jednoznaczna. Jednak w wielu przypadkach możemy usłyszeć, że czujemy się „w miarę” bezpieczni. Wraz ze wzrostem świadomości zagrożeń, szczególnie tych propagowanych przez internet, to poczucie zaczyna spadać.

Rodzajów zagrożeń jest wiele. Planując zabezpieczenia, na początek weźmy na warsztat te najbardziej prawdopodobne. Chcąc uruchomić skuteczny model zarządzania bezpieczeństwem, należy również wykonać analizę potrzeb związanych z zabezpieczeniami. Zabezpieczenia własnej infrastruktury stosują praktycznie wszyscy administratorzy. Trudno bowiem wyobrazić sobie nadzorowaną sieć bez ochrony dostępu do serwerowni czy firewalla na brzegu sieci. Tego typu zabezpieczenia dział IT wybiera samodzielnie oraz niejednokrotnie implementuje je w znanym środowisku. Jednak czy zastosowane zabezpieczenia są wystarczające? Często zapominamy o problemie, który może „przynieść” ze sobą nasz użytkownik lub gość. Podłączając do sieci zainfekowanego laptopa, może rozpropagować zagrożenie na inne stacje, a w niektórych przypadkach również na serwery. Potrzebne są więc narzędzia pozwalające na weryfikację i kontrolę podłączanych do sieci hostów. Rozwiązania te powinny również pozwalać na sprawdzanie użytych mechanizmów ochronnych na podłączonych hostach oraz wykrywanie intruzów.

> WAŻNA ROLA NAC

Kontrola dostępu do sieci jest mechanizmem zwiększającym bezpieczeństwo w punktach dostępu ze strony segmentów sieci wewnętrznej. Wiele środków inwestowanych jest w zabezpieczenia przed zagrożeniami ze strony internetu, a wielokrotnie pomijane są w analizie zagrożenia z wewnątrz, mogące wpłynąć na integralność danych i zakłócić pracę systemom znajdującym się w segmentach zaufanych. Problem może pojawić się wtedy, gdy niezaufany host zostanie podłączony do segmentu z dostępem do usług serwerowych. W przypadku pojawienia się takich zagrożeń najczęściej zaczyna działać antywirus wyposażony w moduł wykrywający próby nieautoryzowanego dostępu (Intrusion Detection System, IDS). Niestety jest to często ostatnia linia obrony, ponieważ zainfekowany komputer lub intruz są już w naszej sieci i mogą realizować działania mające na celu rozprzestrzenianie się i zdobycie dostępu do wrażliwych systemów. Aby móc kontrolować wiele zagrożeń, które mają źródło na komputerze podłączanym do przełącznika, potrzebujemy mechanizmu szczegółowej kontroli wejścia do sieci. Wymaga to wprowadzenia zasad kontroli użytkowników oraz urządzeń.

Coraz częściej jeden pracownik wykorzystuje wiele rodzajów urządzeń. Dostęp użytkownika, posługującego się laptopem, tabletem lub smartfonem, do zasobów powinien być zarządzany za pomocą spójnych polityk stosowanych we wszystkich segmentach sieci i na wielu urządzeniach. Nadzór powinien również dotyczyć tych urządzeń, które wykorzystując dostęp przez internet, korzystają zdalnie z zasobów sieci wewnętrznej.

Network Access Control, czyli w skrócie NAC, to rodzina narzędzi pozwalających w różnym zakresie funkcji nadzorować i kontrolować dostęp urządzeń do sieci. Oprócz samych funkcji dotyczących kontroli oferują również możliwości monitorowania końcówek, którymi w dużej mierze są komputery stacjonarne oraz laptopy, a także smartfony i tablety. Narzędzia takie zapewniają dostęp do szerokiej gamy szczegółowych informacji o wszystkich podłączonych urządzeniach w sieciach przewodowych i bezprzewodowych. Administratorzy po wdrożeniu takich rozwiązań uzyskują dostęp do pulpitu nawigacyjnego dostarczającego wiedzy o pojawiających się próbach podłączania nieautoryzowanych urządzeń, statusie hostów zaufanych oraz zagrożeniach dla bezpieczeństwa sieci wewnętrznej.

Ważną cechą NAC-ów jest centralne zarządzanie i definiowanie polityk uwierzytelniania ukierunkowanych zarówno na użytkowników, jak i na urządzenia. Administrator może stosować granularne reguły przyznawania i zabraniania dostępu zależnie od lokalizacji, użytkownika, czasu i sposobu dostępu do dozwolonych sieci. Rozwiązania NAC pozwalają na zapobieganie nieautoryzowanemu dostępowi do sieci wewnętrznej z komputerów prywatnych pracowników. Podobnie zabezpieczenia Network Access Control umożliwiają sterowanie dostępem komputerów gości, zarówno tych o większych uprawnieniach, np. konsultantów, jak i gości o bardzo ograniczonych uprawnieniach mających dostęp wyłącznie do zasobów internetu. Bez takich rozwiązań nieautoryzowany dostęp wiąże się z o wiele wyższym ryzykiem.

> FUNKCJE NAC

Systemy kontroli dostępu do sieci mogą różnić się w zależności od rodzaju wdrożenia oraz wykorzystywanych lub dostępnych funkcji. Podstawowa funkcjonalność NAC-a, najczęściej bez zainstalowanego agenta na końcówce, pozwala na kontrolę dostępu opartą na adresach MAC. Pozwala również kontrolować ruch sieciowy za pomocą firewalli oraz wykrywać obecność malware'u na sieciowych systemach wykrywania włamań (Network Intrusion Detection System, NIDS).

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"